等保测评
2024-03-21 15:15:55 1 举报
AI智能生成
登录查看完整内容
等保测评项
作者其他创作
大纲/内容
机房场地选择在有防震、防风、防雨等能力的建筑内
安全要求
机房场地所在建筑物有防震、防风、防雨等能力
要求解读
核查是否有建筑物抗震设防审批文件核查是否有雨水渗漏痕迹核查是否有可灵活开启的窗户,若有是否采取了封闭,上锁等防护措施
测评方法
机房有验收文档天花板、窗台无渗漏痕迹机房无窗户,或有窗户且采取防护措施现场观测屋顶、墙体、门窗、地面无开裂现象
预期结果或佐证
要求项1
机房场地应避免设在建筑物的顶层或地下室,否则应加强防水防潮措施
机房场地避免设置在建筑物的顶层或地下室,如因某些原因无法避免,需加强防水防潮措施
核查机房是否设置在建筑物的顶层或地下室若机房设置在建筑物顶层或地下室,是否采取了防水防潮措施
未设置在建筑物的顶层或地下室设置在建筑物的顶层或地下室,采取了严格的防水防潮措施
要求项2
物理位置选择
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员
为防止非授权进入机房,应安装电子门禁系统,对进出人员进行访问控制,避免未授权人员进入造成系统运行终端、设备丢失或损坏、数据被窃取篡改,并实现对人员进出情况记录
核查机房出入口是否配置了电子门禁系统核查电子门禁系统是否开启并正常运行核查电子门禁系统是否可以鉴别、记录进入人员信息
机房出入口配备了电子门禁系统电子门禁系统工作正常,可以对进入人员进行鉴别
要求项3
物理访问控制
应将设备或主要部件进行固定,并设置不易除去的标识
对于安放在机房内保障系统正常运行的设备或部件进行加固,并设置明显的、不易除去的标识
核查机房内设备或部件是否进行固定核查机房内设备或部件是否设置了明显的、不易除去的标识
机房内的设备均放置在机柜或机架上并固定设备或部件设置了不易除去的标识(若为粘贴标识,不能有翘起)
要求项4
应将通信线缆铺设在隐蔽安全处
机房内的通信线缆需要铺设在隐蔽安全处,防止线缆受损
核查机房内通信线缆是否铺设在隐蔽安全处
机房通信线缆铺设在线槽或桥架里
要求项5
应设置机房防盗报警系统或设置有专人值守的视频监控系统
机房需要安装防盗报警系统或在安装视频监控系统时安排专人值守,防止盗窃和恶意破坏
核查是否配置防盗报警系统或有专人值守的视频监控系统
核查防盗报警系统或视频监控系统是否开启且正常运行
机房配置了防盗报警系统或有专人值守的视频监控系统在现场观测时,视频监控系统正常工作
要求项6
防盗窃和放破坏
应将各类机柜、设施和设备等通过接地系统安全接地
在机房内对各类机柜、设施和设备采取接地措施,防止雷击对电子设备造成损害
核查机房内机柜、设施和设备是否进行接地处理,通常黄绿相间的电线为接地线
机房内机柜、设施和设备等均已采取接地措施
要求项7
应采取措施防止感应雷,例如设置防雷保安器或过呀保护装置等
在机房内安装防雷保安器或过压保护装置等,防止感应雷对电子设备造成损害
核查机房内是否采取了防感应雷措施核查防雷装置是否通过了验收或国家有关部门的技术检测
机房内采取了防感应雷措施,例如防雷感应器、防浪涌插座等防雷装置通过了国家有关部门的技术检测
要求项8
防雷击
机房应设置火灾自动消防系统,能够自动检测火情、自动报警、自动灭火
机房内需设置火灾自动消防系统,在发生火灾时进行自动检测、报警和灭火,如自动气体消防系统、自动喷淋消防系统等
核查机房内是否设置了火灾自动消防系统核查火灾自动消防系统是否可以自动检测火情、自动报警、自动灭火核查火灾自动消防系统是否通过了验收或国家有关部门的技术检测
机房内设置了火灾自动消防系统在进行现场观测时,火灾自动消防系统工作正常
要求项9
机房及相关工作房间和辅助房间应采取具有耐火等级的建筑材料
机房内需采用具有耐火等级的建筑材料,以防止火灾的发生和火势蔓延
核查机房验收文档中是否明确记录了所用建筑材料的耐火等级
机房使用的所有材料均为耐火材料,例如使用墙体、防火玻璃等,但使用金属栅栏的情况不算符合
要求项10
应对机房划分区域进行管理,区域和区域之间设置隔离防火措施
机房内需要进行区域划分并设置隔离防火措施,防止火势蔓延
核查机房是否划分区域核查机房各区域之间是否采取隔离防火措施
机房进行区域划分,例如过渡区、主机房机房个区域之间部署防火隔离装置
要求项11
防火
应采取措施防止雨水通过机房窗户、屋顶、墙壁渗透
机房内需采取防渗漏措施,防止窗户、屋顶、墙壁出现渗漏现象
核查机房窗户、屋顶、墙壁是否采取防渗漏措施
机房采取防雨水渗透措施,例如封锁窗户并采取防水措施、屋顶、墙壁均采取防雨水渗透措施
要求项12
应采取措施防止机房水蒸气结露、地下积水转移和渗透
机房内需采取防结露和排水措施,防止水蒸气结露和地面积水
核查机房内是否采取防止水蒸气结露的措施核查机房内是否采取排水措施防止地面积水
机房内配备了专用的精密空调防止水蒸气结露机房内部署了漏水检测装置,可以对漏水情况进行监控、报警
要求项13
应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警
机房内需要布设对水敏感的检测装置,对渗水、漏水的情况进行检测报警
核查机房内是否安装了对水敏感的检测装置核查机房内的防水检测和报警装置是否开启并正常运行
机房内部署漏水检测装置,如漏水检测绳等在进行现场观测时,防水检测和报警装置工作正常
要求项14
防水和防潮
应采用防静电地板或地面并采用必要的接地防静电措施
机房内需安装防静电地板或在地面采取必要的接地措施,防止静电产生
核查机房内是否安装防静电地板核查机房内是否采用了防静电接地措施
机房内安装了防静电地板机房内采用了接地的防静电措施
要求项15
应采取措施防止静电的产生,如采用静电消除器、佩戴防静电手环等
机房内需配备静电消除器,工作人员可佩戴防静电手环等
核查机房是否配备静电消除设备
机房内配备了静电消除设备
要求项16
防静电
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内
机房内安装温湿度自动调节装置,如空调、除湿机、通风机等,使机房温湿度的变化在设备允许范围内,通常机房适宜温度为18-27℃,空气湿度为35%-75%
核查机房内是否配备了专用空调核查机房内温湿度是否在设备运行所允许的范围内
机房配备了专用的精密空调机房温度在20-25℃,湿度在40%-60%
要求项17
温湿度控制
应在机房供电线路上配置稳压器和过压防护设备
机房供电线路上需安装电流稳压器和电压过载保护装置,防止电力波动对电子设备造成损害
核查供电线路上是否配置了稳压器和过压防护设备
机房内计算机系统供电线路上设置了稳压器和过压防护设备在现场观测时,稳压器和过压防护设备工作正常
要求项18
应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求
机房内需配备不间断电源(UPS)或备用供电系统,例如备用发电机或由第三方提供的备用供电服务,防止电力中断对设备运转和系统运行造成损害
核查机房是否配备UPS等备用供电系统核查UPS等备用供电系统的运行切换记录和检修维护记录
机房配备UPS系统UPS系统能够满足短期断电时的供电要求
要求项19
应设置冗余或并行的电力电缆线路为计算机系统供电
机房供电需要使用冗余或并行的电力电缆线路,防止电力中断对设备运转和系统运行造成损害
核查是否设置了冗余或并行的电力电缆线路为计算机系统供电
机房配备了冗余的供电线路,如市电双路接入
要求项20
电力供应
电源线和通信线缆应隔离铺设,避免互相干扰
机房内的电源线和通信线缆需要隔离铺设在不同的管道或桥架内,防止电磁辐射和干扰
核查机房电源线和通信线缆是否隔离铺设
机房内电源线和通信线缆隔离铺设,如通过线槽或桥架进行隔离
要求项21
应对关键设备实施电磁屏蔽
机房内的关键设备需安放在电磁屏蔽机或电磁屏蔽区域,防止电磁辐射和干扰
核查是否为关键设备配备电磁屏蔽装置
对关键设备采取电磁屏蔽措施,如配备电磁屏蔽机柜或屏蔽机房
要求项22
电磁防护
安全物理环境(共22个要求项)
应保证网络设备的业务处理能力满足业务高峰期需要
为保证主要网络设备具备足够的处理能力,应定期检查设备的资源占用情况,确保设备的业务处理能力具备冗余空间
1. 设备CPU、内存使用率的峰值不大于70%(华为交换机命令:display cpu-suage)2. 未出现宕机情况,综合网管系统未记录宕机告警日志,设备运行时间较长(华为交换机命令:display version)
应保证网络各个部分的带宽满足业务高峰需要
为保证业务连续性,应保证网络各个部分的带宽满足业务高峰期需要,如果存在带宽无法满足情况,则要在主要网络设备上进行带宽配置,以保证关键业务应用的带宽需求
1.询问管理员业务高峰期的流量使用情况,核查是否部署了流量控制设备对关键业务系统的流量带宽进行控制,或者在相关设备上启用QOS配置对网络各个部分进行带宽分配2. 核查综合网管系统在业务高峰期的带宽占用情况,分析是否满足业务需求,如果无法满足业务高峰期需求,则要在主要网络设备上进行带宽配置3. 测试验证网络各个部分的带宽是否满足业务高峰期需要
1.在各个关键节点部署流量监控系统,监测网络中的实时流量,部署流量控制设备,在关键节点设备上配置QOS策略,对关键业务系统的流量带宽进行控制2.节点设备配置流量监管和流量整形策略3.各通信链路的高峰期流量均不高于其带宽的70%
应划分不同的网络区域,并按照方便管理和控制的原则为各个网络区域分配地址
应根据实际情况和区域安全防护要求,在主要网络设备上进行vlan划分
询问网络管理员是否依据部门的职能、等保对象的重要程度、应用系统的级别等实际情况和区域安全防护要求划分了不同vlan核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
划分了不同的网络区域,并为各网络区域分配地址,不同网络区域之间采取边界防护措施
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
应避免将重要网段部署在边界处且直接连接外部等级保护对象,从而防止来自外部等级保护对象的攻击。应在重要网段和其他网段之间配置安全策略,进行访问控制
核查网络拓扑图是否与实际网络运行环境一致核查重要网络区域是否部署在网络边界处以及网络区域边界是否部署安全防护措施核查重要网络区域与其他网络区域之间是否采取了可靠的技术隔离手段,如网闸、防火墙、设备访问控制列表等
网络拓扑图与实际网络运行环境一致重要网络区域未部署在网络边界处重要网络区域与其他网络区域之间部署了网站、防火墙等安全设备,实现技术隔离
应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性
应采用冗余技术设计网络拓扑结构关键计算设备需采用热冗余方式部署,保障系统高可用性
核查系统的出口路由器、核心交换机、安全设备等关键设备是否用硬件冗余和通信线路冗余来保证系统高可用性
采用HSRP、VRRP等冗余技术设计网络架构,在通信线路或设备发生故障时网络不会中断
网络架构
应采用校验技术或密码技术保证通信过程中数据的完整性
为防止数据在通信过程中被修改或破坏,应采用校验技术或密码技术保证通信过程中数据的完整性,这些数据包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据、重要个人信息等
核查是否在传输过程中使用校验技术或密码技术保证数据完整性测试验证设备或组件是否能够保证通信过程中数据的完整。如使用filechecksum integrity verifier(适用于md5、sha1算法)、sigcheck(适用于数字签名)等工具对数据完整性校验
对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据、重要个人信息等采用校验技术或密码技术保证通信过程中数据完整性使用filechecksum integrity verifier计算数据的散列值,验证数据的完整性
应采用密码技术保证通信过程中数据的保密性
根据实际情况和安全防护要求,应采取技术手段对通信过程中的敏感信息字段或整个报文加密。可采用对称加密和非对称加密算法实现
核查是否在通信过程中采取了保密措施,了解具体采取了哪些措施测试验证在通信过程中是否对敏感信息字段或整个报文进行加密。可以使用通信协议分析工具、流量镜像等方式抓取网络中的数据
对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据、重要个人信息等采用密码技术保证数据保密性通信协议分析工具可监视信息的传送过程,但显示的是加密报文
通信传输
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
通信设备可能包括交换机、路由器和其他通信设备等,通过在设备的启动和运行过程中对预装软件的完整性进行验证或检测,可以确保对预装软件的篡改行为能被发现报警
核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证核查是否在应用程序的关键执行关节进行动态可信验证测试验证在检测到设备的可信性受到破坏后是否进行报警核查测试验证结果是否以审计记录的形式被送至安全管理中心
通信设备具有可信根芯片或硬件启动过程基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证度量在检测到设备的可信性收到破坏后报警,并将验证结果形成审计记录送至安全管理中心安全管理中心可以接收到设备的验证结果记录
可信验证
安全通信网络(共8个要求项)
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信
为保证数据通过受控边界,应明确网络边界设备,并明确边界设备的物理端口。网络外连链路仅能通过指定的设备端口进行数据通信
核查网络拓扑图是否与实际的网络链路是否一致,是否明确了网络边界及边界设备的物理端口通过路由配置信息及边界设备配置信息,核查是否由指定的物理端口进行跨越边界的网络通信采用其他技术手段核查是否存在其他能够进行跨越边界的网络通信的未受控端口。可使用无线嗅探器、无线入侵检测系统。手持式无线信号检测系统等相关工具检测无线访问情况
查看网络拓扑图并对比实际的网络链路,确认网络边界设备及链路接入端口的设置无误通过网络管理系统的自动拓扑发现功能,监控非授权的网络出口链路。通过无线嗅探器排查无线网络的使用情况,确认无非授权WiFi
应能够对非授权设备私自接入内部网络的行为进行检查或限制
设备的非授权接入可能会破坏原有的边界设计策略。可以采用技术手段和管理措施对非授权接入行为进行检查,技术手段包括部署内网安全管理系统、关闭网络设备未使用的端口、绑定ip/mac地址等
1.询问网络管理员采用什么技术手段或管理措施对非授权设备私自接入内部网络的行为进行管控,并在网络管理员的配合下验证其有效性2.核查所有路由器和交换机等设备的闲置端口是否已经关闭3.如果通过部署内网安全管理系统实现系统准入,则应核查各终端设备是否统一进行部署,以及是否存在不可控的特殊权限接入设备4.如果采用ip/mac绑定的方式进行准入控制,则应核查接入层网络设备是否采取了ip/mac地址绑定等措施
1.非使用的端口均已关闭。查看命令“show ip interfaces brief”2.网络中部署的终端管理系统已经启用,各终端设备均已有效部署,无特权设备3。ip/mac地址绑定结果。查看命令“show ip arp”
应能够对内部用户非授权连到外部网络的行为进行检查或限制
可以通过内网安全管理系统的非授权外联管控功能或防非法外联系统实现对非授权外联行为的控制。
1.核查是否采用了内网安全管理系统或其他技术手段对内部用户非授权连接外部网络的行为进行限制或检查2.核查是否限制终端设备的相关端口的使用。例如是否通过禁用双网卡、USB接口、调制解调器、无线网络等来防止内部用户进行非授权外联
1.网络中部署了终端安全管理系统或非授权外联管控系统2.网络中的各类终端设备均已正确部署了终端安全管理系统或外联管控系统并启用相关策略。例如禁止更改网络配置、以及禁用双网卡、USB口、调制解调器、无线网络等
应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络
无线网络应单独组网并通过无线接入网关等受控的边界防护设备接入内部有线网络。同时,应部署无线网络管控措施,对非授权的无线网络进行检测、屏蔽
1.询问网络管理员网络中是否有授权的无线网络,以及这些无线网络是否是单独组网后接入有线网络2.核查无线网络的部署方式。核查是否部署了无线接入网关、无线网络控制器等设备。检查无线网络设备的配置是否合理,例如无线网络设备信道的使用是否合理,用户口令强度是否足够,是否使用wpa2加密方式等3.核查网络中是否部署了对非授权的无线设备的管控措施,以及是否能够对非授权的无线设备进行检查、屏蔽
1.授权的无线网络通过无线方式接入网关,并通过防火墙等访问控制设备接入有线网络。无线网络使用1信道防止设备间的互相干扰。使用wpa2进行加密。且对用户密码的复杂度有要求。例如口令长度为8位及以上且由数字、大小写字母及特殊字符组成。2.使用无线嗅探器未发现非授权的无线设备。
边界防护
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下只放通允许通信的受控接口,其他全部拒绝
应在网络边界或区域之间部署防火墙、网站、路由器、交换机和无线接入网关等具有访问控制功能的设备或组件,根据访问控制策略设置有效的访问控制规则,访问控制规则采用白名单机制
1.核查网络边界或区域之间是否部署了访问控制设备,是否启用了访问控制策略。2.核查设备的访问控制策略是否为白名单机制,是否仅允许授权的用户访问网络资源,是否禁止了其他所有网络访问行为3.核查所配置的访问控制策略是否实际应用带了相应接口的进或出方向
检查配置文件中的访问控制策略,cisco命令:show running-config
应删除多余或无效的访问控制规则,优化访问控制列表,保证访问控制规则数量最小化
根据实际业务需求配置访问控制策略,仅开放业务运行必须使用的端口,禁止配置全通策略。访问控制策略之间不存在冲突、重叠、包含的情况,保证访问控制规则数量最小化
1.访谈安全管理员,了解访问控制策略的配置情况,核查相关安全设备的访问控制策略与业务和管理需求是否一致,结婚策略命中数据分析访问控制策略是否有效2.检查访问控制策略中是否已经禁用全通策略或端口、地址限制范围过大的策略3.核查设备的不同访问控制策略之间的逻辑关系是否合理
1.访问控制需求与访问控制策略一致2.访问控制策略的优先级配置合理3.全通策略已被禁用4.互相包含策略已被合并
应对源目ip、源目端口、协议等进行检查,以允许/拒绝数据包进出
应对网络中的网闸、防火墙、路由器、交换机和无线接入网关等能够提供访问控制功能的设备或相关组件进行检查,访问控制策略应明确源目ip、源目端口、协议,以允许/拒绝数据包进出
核查设备中的访问控制策略是否明确设定了源目ip、源目端口、协议等相关参数
配置文件中应存在如下类似配置。例如希望拒绝172.16.4.0-172.16.3.0的所有FTP通信流量通过f0/0接口,可输出show running-config查看
应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力
防火墙不仅能根据五元组对数据包进行控制,还能记录通过防火墙的连接状态,直接对数据包里的数据进行处理。防火墙还应具有完备的状态检测表以追踪连接会话的状态,并能结合前后数据包的关系进行综合判断,从而决定是否允许该数据包通过
配置文件中应存在相关配置。可输出show running-config查看
应对进出网络的数据流实现基于应用协议和应用内容的访问控制
在网络边界处采用下一代防火墙或相关安全组件,实现基于应用协议和应用内容的访问控制
1.核查关键网络节点处是否部署了访问控制设备2.检查访问控制设备是否配置了相关策略,是否已对应用协议、应用内容进行访问控制并对策略的有效性进行测试
通过防火墙配置应用访问控制策略,根据应用协议、应用内容进行访问控制,对即时聊天工具、视频软件及web服务、ftp服务等进行管控
访问控制
应在关键网络节点处检测、防止或限制从外部发起的网络攻击
进行主动检测,以检测网络是否发生了入侵和遭受攻击。监视入侵和安全事件既包括主动任务、也包括被动任务。应能发现各种主流的攻击行为,如端口扫描、atp攻击、木马后门、拒绝服务攻击、蠕虫攻击等,入侵防范主要是通过在网络边界部署具有入侵防范功能的安全设备实现的,如抗ATP攻击系统、网络回溯系统、威胁情报检测、抗DDOS攻击系统、入侵检测系统等
1.核查相关系统或设备是否能够检测到从外部发起的网络攻击2.核查相关系统或设备的规则库是否已经更新到最新版本3.核查相关系统、设备配置信息或安全策略是否能够覆盖网络中的所有关键节点4.测试验证相关系统或设备的安全策略是否有效
1.相关系统或设备中有检测从外部发起的攻击行为信息2.相关系统或设备的规则库已经更新,更新时间与测评时间较为接近3.配置信息、安全策略中制定的规则覆盖了系统关键节点的ip地址等4.监测到的攻击日志信息与安全策略相符
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
应在网络边界、核心等关键网络节点处部署ips等系统,或在防火墙、utm中启用入侵防护功能
1.核查相关系统或设备是否能够检测到从内部发起的网络攻击行为2.核查相关系统或设备的规则库是否已经更新到最新版本3.核查相关系统、设备配置或安全策略是否能够覆盖网络中国的所有关键节点4.测试验证相关系统或设备的安全策略是否有效
1.相关系统或设备中有检测到从内部发起的攻击行为信息2.相关系统或设备的规则库已经更新,更新时间与测评时间较为接近3.配置信息、安全策略中制定的规则覆盖了系统关键节点的ip地址4.监测到的攻击日志信息与安全策略相符
应采取技术措施对网络攻击行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析
部署网络回溯系统或抗APT攻击等,实现对新型网络攻击行为的检测和分析
1.核查是否部署了网络回溯系统或抗APT攻击系统等2.核查相关系统或设备的规则库是否已经更新到最新版本3.测试验证是否能够对网络行为进行分析,是否能够对网络攻击行为特别是未知的新型网络攻击行为进行检测和分析
1.系统内部署了网络回溯系统或抗APT攻击系统,系统具备对新型网络攻击行为进行检测和分析能力2.网络回溯系统或抗APT攻击系统的规则库已经更新,更新时间与测评时间较为接近3.测试验证系统可以对网络行为进行分析,并能对未知的新型网络攻击行为进行检测和分析
当检测到攻击行为时,记录攻击源ip、攻击类型、攻击目标、攻击时间、在发生严重入侵事件时应提供报警
应将攻击源ip、攻击类型、攻击目标、攻击时间等信息记录在日志中,通过这些日志记录可以对攻击行为进行审计和分析发生沿着弄入侵事件时,应及时向有关人员报警,如短信、电子邮件等
1.访谈网络管理员和查看网络拓扑结构,核查在网络边界处是否部署了具有入侵防范功能的设备。如果部署了入侵防范设备则检查设备的日志记录是否记录了攻击源ip、攻击类型、攻击目标、攻击时间等信息,了解采用什么方式进行报警2.测试验证相关系统或设备的报警策略是否有效
1.具有入侵防范功能的设备日志记录了攻击源ip、攻击类型、攻击目标、攻击时间等信息2.设备的报警功能已经开启并处于正常使用状态
入侵防范
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新
通过在网络边界处部署防恶意代码产品进行恶意代码防范,如防毒网关、包含防病毒模块的多功能安全网关等,至少具备:对恶意代码的分析和检查能力;对恶意代码的清除或阻断能力;在发现恶意代码后记录日志和审计能力;对恶意代码特征库升级能力;对检测系统的更新能力
1.访谈网络管理员和检查网络拓扑图,核查在网络边界处是否部署了防恶意代码产品,如果部署了相关产品,则查看是否启用了恶意代码检测及阻断功能,并查看日志记录汇总是否有相关信息2.访谈网络管理员,了解是否对方恶意代码产品的特征库进行升级及具体升级方式,登录相关的防恶意代码产品,核查其特征库的升级情况。3.测试验证相关系统或设备的安全策略是否有效
1.网络边界处部署了防恶意代码产品或组件,防恶意代码功能正常开启且具备对恶意代码的检测和清除能力2.恶意代码特征库已经升级,升级时间和测评时间较为接近
应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新
应部署相应的设备或系统对垃圾邮件进行识别和处理,包括部署透明的防垃圾邮件网关、部署基于转发的防垃圾邮件系统、安装基于邮件服务器的防垃圾邮件软件与邮件服务器一体的用户防范垃圾邮件的邮件服务器等,并保证规则库已经更新到最新版本
1.核查在关键网络节点处是否部署了防垃圾邮件设备或系统2.核查防垃圾邮件产品是否运行正常,以及防垃圾邮件规则库是否更新到最新版本3.测试验证相关设备或系统的安全策略是否有效
1.网络关键节点部署了防垃圾邮件系统或设备,放垃圾邮件功能正常开启2.垃圾邮件防护机制已经升级,升级时间与测评时间较为接近3.测试结果显示防垃圾邮件设备或系统能够阻断垃圾邮件
恶意代码和垃圾邮件防范
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
需要在网络边界处部署相关系统,启用重要网络节点的日志功能,将系统日志信息传输至各种管理端口、内部缓存或日志服务器
1.核查是否部署了综合安全审计系统或具有类似功能的系统平台2.核查安全审计范围是否覆盖到每个用户,是否对重要的用户行为和重要安全事件进行审计
1.在网络边界、重要网络节点处部署审计设备2.审计范围覆盖每个用户,且审计记录包含重要的用户行为和重要安全事件
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他域审计相关的信息
审计记录内容是否全面直接影响审计的有效性。日志审计内容应包括事件的日期和时间、用户、事件类型、事件是否成功等信息
核查审计记录是否包含事件的日期和时间、用户、事件类型、事件是否成功以及其他与审计相关的信息
审计记录包括事件的日期和时间、用户、事件类型、事件是否成功等信息
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
审计记录需要在技术和管理进行保护,防止未授权的修改、删除、破坏。可以设置专门的日志服务器来接收设备发出的报警信息。非授权用户无权删除本地和日志服务器上审计记录
1.核查是否已经采取技术措施对审计记录进行保护2.核查审计记录的备份机制和备份策略是否合理
1.审计系统开启日志外发功能,日志被转发至日志服务器2.审计记录的存储时间超过6个月
应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
对远程访问用户,应在相关设备上提供用户认证功能。通过配置用户、用户组并结合访问控制规则,可以实现允许认证成功的用户访问受控资源。需对内部用户访问互联网的行为进行审计和分析
核查是否已对远程访问用户、互联网访问用户的行为单独进行审计和分析核查审计和分析记录是否包含用于管理远程访问的用户行为、访问互联网的用户行为的必要信息
设在网络边界处的审计系统能够对远程访问的用户行为进行审计能够对访问互联网的用户行为进行单独审计
安全审计
安全区域边界(共20个要求项)
应对登录用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
口令是路由器用户防止非授权访问的常用手段,因此需要加强对路由器口令的管理,包括口令的设置和存储。管理员应当依据需要,为路由器的相应端口添加身份鉴别所需的最基本安全控制机制
1.核查是否在用户登录时采用身份鉴别措施2.核查用户列表,测试用户身份标识是否具有唯一性3.查看用户配置信息或访谈管理员,核查是否存在空口令用户4.核查用户鉴别信息是否满足复杂度要求并定期更换
1.路由器使用口令鉴别机制对登录用户进行身份标识和鉴别2.在用户登录时提示输入用户名和口令,以错误口令或空口令登录时提示登录失败,证明登录控制功能的有效性3.路由器不存在密码为空的用户4.口令由数字、字母、特殊字符组成,口令长度大于8位,口令更换周期为3个月
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
可以通过配置结束会话、限制管理员的最大登录失败次数、设置网络连接超时自动退出等多种措施实现登录失败处理功能。
1.核查是否配置并启用登录失败处理功能,如果网络中部署了堡垒机,先核查堡垒机是否具有登录失败处理功能。如果没有堡垒机,则核查设备是否默认启用登录失败处理功能,例如登录失败三次即退出登录界面或锁定账户10分钟2.核查是否配置并启用非法登录达到一定次数后锁定账户的功能3.核查是否配置并启用远程登录连接超时自动退出功能
1.网络设备默认启用登录失败处理功能2.堡垒机限制非法登录3.堡垒机启用远程登录连接超时自动退出功能
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
在对网络设备远程管理时,不应使用明文传送的telnet服务,应该采用ssh、https加密协议等进行交互式管理
核查是否采用了加密方式对系统进行远程管理。如果网络中部署了堡垒机,则先核查堡垒机在远程连接时采用什么措施防止鉴别信息被窃听
远程管理网络设备时采用ssh或https协议方式防止被窃听
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术实现
使用两种或以上不同种类的鉴别技术对用户身份鉴别,且至少采用一种密码技术实现
询问管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或两种以上组合的鉴别技术对用户身份鉴别,并核查其中一种鉴别技术是否为密码技术
至少采用了两种鉴别技术,其中之一为口令或生物技术,另一种为基于密码技术的鉴别技术,如使用基于国密算法的数字证书或数字令牌
身份鉴别
应对登录的用户分配账户和权限
需要为登录的用户分配账户并合理配置账户权限。
1.访谈网络管理员、安全管理员、系统管理员或核查用户账户和权限设置情况2.核查是否已禁用或限制匿名、默认账户的访问权限
1.相关管理人员具有与其职位相对应的账户和权限2.网络设备已禁用或限制匿名、默认账户的访问权限
应重命名或删除默认账户,修改默认账户的默认口令
默认账户的某些权限与实际要求可能存在差异,这些默认账户应该被禁用,且应不存在默认账户(admin、huawei)及默认口令
1.核查默认账户是否已经重命名或默认账户是否已被删除2.核查默认账户的默认口令是否已经修改。登录路由器,使用路由器的默认账户和默认口令进行测试,核查是否能登录
1.使用默认账户和默认口令无法登录路由器2.路由器中不存在默认账户
应及时删除或停用多余的、过期的账户,避免共享账户的存在
应及时清理路由器中的账户,删除或停用多余、过期的账户,避免共享账户的存在
1.核查是否存在多余的或过期的账户,以及管理员用户与账户之间是否对应2.核查并测试多余、过期的账户是否已经被删除或停用
1.配置的用户名都是确实和必要的2.网络管理员、安全管理员、系统管理员等不同的用户使用不同的账户登录系统
应授予管理用户所需的最小权限,实现管理用户的权限分离
根据管理用户的角色对权限进行划分,授予用户所需的最小权限,可以避免出现权限漏洞而使一些用户拥有过高的权限。例如进行角色划分并设置对应权限
1.访谈管理员,核查是否进行角色划分,例如划分为系统管理员、安全管理员、网络管理员等2.核查管理用户的权限是否已经分离3.核查管理用户的权限是否为其工作所需的最小权限
1.进行角色划分,分为网络管理员、安全管理员、系统管理员三个角色,并设置对应的权限2.网络管理员、安全管理员、系统管理员对应的账户权限为其工作所需的最小权限
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
路由器的访问控制策略由授权主体进行配置,规定了主体可以对客体进行操作。访问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
敏感标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整形数字,也可能是字母,总之,它表示主体和客体的安全级别。敏感标记由安全管理员设置
此项不适用
应启用安全审计功能,覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
为了对网络设备的运行情况、网络流量、管理记录等进行检测和记录,需要启用系统日志功能。系统日志中的每条信息都被分配了一个严重级别,并伴随一些指示性问题或事件描述信息。路由器的系统日志信息通常被输出至各种管理端口、内部缓存或日志服务器。在默认情况下,控制台端口的日志功能处于启用状态
1.核查是否开启安全审计功能,以及网络设备是否设置日志服务器的IP地址,并使用syslog或snmp方式将日志发送到日志服务器2.核查安全审计范围是否覆盖每个用户3.核查是否已对重要的用户行为和重要安全事件进行审计
网络设备设置了日志服务器,并使用syslog或snmp方式将日志发送到日志服务器
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
路由器的日志审计内容包括日期和时间、用户、事件类型、事件是否成功等信息
核查审计记录是否包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
日志信息包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
应对审计记录进行保护,定期备份,避免受到的未逾期的删除、修改或覆盖等
审计记录能够帮助管理人员及时发现系统运行问题和网络攻击行为,因此,需要对审计记录实施技术和管理上的保护,防止未授权的修改、删除和破坏
1.访谈系统管理员,了解审计记录的存储、备份、保护措施2.核查是否定时将路由器日志发送到日志服务器等,以及是否使用syslog或snmp方式将路由器日志发送到日志服务器。如果部署日志服务器,则登录日志服务器,核查被测路由器是否在收集范围内。
网络设备的日志信息被定期发送到日志服务器,在日志服务器上可以查看半年前的审计记录
应对审计进程进行保护,防止未授权的中断
保护审计进程,确保当安全事件发生时能及时记录事件的详细信息。非审计员账户不能中断审计进程
通过非审计员账户中断审计进程,以验证审计进程是否受到保护
非审计员账户无法中断审计进程
应遵循最小安装原则,仅安装需要的组件和应用程序
遵循最小安装的原则,仅安装需要的组件和应用程序,能够大大降低路由器遭受攻击的可能性。及时更新系统补丁,以避免系统漏洞给路由器带来的风险
此项不适用,一般在服务器上实现
应关闭不需要的系统服务、默认共享和高危端口
关闭不需要的系统服务、默认共享和高危端口,可以有效降低系统遭受攻击的可能性
1.访谈系统管理员,了解是否定期对系统服务进行梳理并关闭非必要的系统服务和默认共享端口2.核查是否开启了非必要的高危端口
可在路由器执行查看命令核查
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
需要对通过虚拟终端访问网络设备的登录地址进行限制来避免未授权的访问
核查配置文件是否对终端接入范围进行限制。如果网络中部署了堡垒机,则应核查堡垒机是否限制管理终端的地址范围,同时核查网络设备上是否仅配置了堡垒机的远程管理地址。
堡垒机限制终端的接入范围
应提供数据有效性验证功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定的要求
应用系统应对数据的有效性进行验证,防止个别用户输入畸形数据导致系统出错(如sql注入等)
此项不适用,一般在应用层面核查
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
应核查漏洞扫描修补报告。管理员应定期进行漏洞扫描,如果发现漏洞,应在经过充分的测试和评估后及时修复漏洞
1.进行漏洞扫描,核查是否存在高风险漏洞2.访谈系统管理员,核查是否在经过充分测试和评估后及时修补漏洞
管理员定期进行漏洞扫描,如果发现漏洞,在充分测试和评估后及时修复漏洞
应能检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
通常可以在网络边界、核心等重要节点部署IDS、IPS等系统,或在防火墙、utm启用入侵检测功能
此项不适用,一般在入侵防护系统上实现
路由器
口令是交换机用户防止非授权访问的常用手段,因此需要加强对路交换机口令的管理,包括口令的设置和存储。管理员应当依据需要,为交换机的相应端口添加身份鉴别所需的最基本安全控制机制
1.交换机使用口令鉴别机制对登录用户进行身份标识和鉴别2.在用户登录时提示输入用户名和口令,以错误口令或空口令登录时提示登录失败,证明登录控制功能的有效性3.交换机不存在密码为空的用户4.口令由数字、字母、特殊字符组成,口令长度大于8位,口令更换周期为3个月
要求项23
要求项24
要求项25
要求项26
要求项27
1.核查默认账户是否已经重命名或默认账户是否已被删除2.核查默认账户的默认口令是否已经修改。登录交换机,使用交换机的默认账户和默认口令进行测试,核查是否能登录
1.使用默认账户和默认口令无法登录路由器2.交换机中不存在默认账户
要求项28
应及时清理交换机中的账户,删除或停用多余、过期的账户,避免共享账户的存在
要求项29
要求项30
交换机的访问控制策略由授权主体进行配置,规定了主体可以对客体进行操作。访问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级
要求项31
要求项32
要求项33
为了对网络设备的运行情况、网络流量、管理记录等进行检测和记录,需要启用系统日志功能。系统日志中的每条信息都被分配了一个严重级别,并伴随一些指示性问题或事件描述信息。交换机的系统日志信息通常被输出至各种管理端口、内部缓存或日志服务器。在默认情况下,控制台端口的日志功能处于启用状态
要求项34
交换机的日志审计内容包括日期和时间、用户、事件类型、事件是否成功等信息
要求项35
1.访谈系统管理员,了解审计记录的存储、备份、保护措施2.核查是否定时将交换机日志发送到日志服务器等,以及是否使用syslog或snmp方式将计划日志发送到日志服务器。如果部署日志服务器,则登录日志服务器,核查被测交换机是否在收集范围内。
要求项36
要求项37
遵循最小安装的原则,仅安装需要的组件和应用程序,能够大大降低交换机遭受攻击的可能性。及时更新系统补丁,以避免系统漏洞给路由器带来的风险
要求项38
可在交换机执行查看命令核查
要求项39
要求项40
要求项41
要求项42
要求项43
要求项44
交换机
网络设备(共44个要求项)
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
子主题
1.防火墙使用口令鉴别机制对登录用户进行身份标识和鉴别2.用户身份标识具有唯一性,不存在多人共用账户的情况,不存在空口令用户3.口令长度至少8位及以上,由数字,大小写字母、特殊字符中的两种及以上组成,口令每季度至少更换一次
要求项45
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数、当登录连接超时自动退出等相关措施
对防火墙。可以通过配置结束会话、限制管理员的最大登录失败次数、设置网络连接超时自动退出等多种措施实现登录失败处理功能。
1.应核查是否配置并启用登录失败处理功能,以及是否配置并启用非法登录达到一定次数后锁定账户功能2.核查是否配置并启用远程登录连接超时自动退出功能。
1.web方式登录防火墙,配置并启用登录失败处理功能,以及非法登录到一定次数后锁定账户2.配置并启用远程登录连接超时自动退出功能
要求项46
不应使用明文传送的telnet、http服务,而应采用ssh、https加密协议等进行交互式管理
询问系统管理员采用什么方式对防火墙进行远程管理。核查通过web界面进行的管理操作是否都已使用ssl协议加密处理
在通过web界面进行远程管理时,使用ssl协议进行加密处理
要求项47
询问管理员是否使用两种或以上不同种类的鉴别技术对用户身份鉴别,且至少采用一种密码技术实现
用户的认证方式为“本地口令+证书认证”或“外部口令+证书认证”
要求项48
为了确保防火墙的安全,需要为登录的用户分配账户并合理配置账户权限
1.针对每个用户账户,核查用户账户和权限设置是否合理2.核查是否已禁用或限制匿名、默认账户的访问权限
1.相关管理人员具有与职位相对应的账户和权限2.禁用或限制匿名、默认账户的访问权限
要求项49
防火墙默认账户的某些权限与实际要求可能存在差异,从而造成安全隐患,因此,这些默认账户应禁用
1.核查默认账户是否已经重命名或默认账户是否已被删除2.核查默认账户的默认口令是否已经修改
防火墙已重命名默认账户或删除默认账户,已经修改默认账户的默认口令
要求项50
应及时删除或停用多余的、过期的账户,避免共享用户的存在
应及时清理防火墙中的账户、删除或停用多余的、过期的用户,避免共享账户的存在
1.核查防火墙用户账户列表,询问管理员各账户的具体用途,核查是否存在多余的或过期的账户2.如果某些多余的或过期的账户无法被删除,则应测试这些多余的、过期的账户是否已经停用。
防火墙用户账户列表中不存在多余的或过期的账户,不存在共享用户
要求项51
应授予管理用户所需的最小权限,实时管理用户的权限分离
根据管理用户的角色对权限进行细致的划分,仅授予管理用户所需的最小权限。
1.核查是否进行了角色划分,例如分为系统管理员、安全管理员、审计管理员。其中,安全管理员可以制定安全策略,系统管理员可以配置安全策略,审计管理员可以查看日志2.查看管理用户的权限是否分离,是否为其工作任务所需的最小权限。例如禁止管理员用户同时拥有审计管理员和安全管理员的权限。
1.系统用户进行了角色划分。2.管理用户的权限已经分离
要求项52
防火墙的访问控制策略由授权主体进行配置,规定了主体可以对客体进行操作。访问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级
要求项53
要求项54
要求项55
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
启用系统日志功能,系统日志中的每条信息都被分配了一个严重级别,并伴随一些指示性问题或事件描述信息
登录防火墙,查看日志告警信息
防火墙设置了正确的服务器地址、服务端口、日志级别和日志类型等
要求项56
防火墙的日志审计内容应包括日期和时间、用户、事件类型、事件是否成功等信息
登录防火墙查看审计日志记录信息项
审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
要求项57
对审计记录实施技术和管理上的保护,防止未授权的修改、删除和破坏
查看防火墙审计是否转发到日志服务器或采取其他备份措施
防火墙的日志信息被定期转发至日志服务器,在日志服务器上可以查看半年前的审计记录
要求项58
保护审计进程,确保当安全事件发生时能够及时记录事件的详细信息
通过非审计员账户中断审计进程,以验证审计进程是否受到了保护
非审计员账户不能中断审计进程
要求项59
遵循最小安装原则,仅安装需要的组件和应用程序,及时更新系统补丁。
要求项60
关闭不需要的系统服务、默认共享和高危端口
要求项61
需要对远程管理防火墙的登录地址限制(可以是特定IP、子网地址、范围或地址组)
如果网络中部署了堡垒机,应先核查堡垒机是否限制终端的接入范围。如果网络中没有部署堡垒机,应登录设备进行核查
堡垒机限制了终端的接入范围,或者在设备本地设置了访问控制列表以限制终端的接入范围
要求项62
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
应用系统应对数据有效性进行验证,防止用户输入畸形数据导致系统错误(例如SQL注入攻击等)
此项不适用,一般在应用层进行核查
要求项63
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修复漏洞
应对系统进行漏洞扫描,及时发现系统中存在的已知漏洞,在测试评估后更新系统补丁
1.进行漏洞扫描,核查是否存在高风险漏洞2.访谈系统管理员,核查是否在经过充分的测试评估后及时修复漏洞,查看系统版本即补丁升级时间
管理员定期进行漏洞扫描,发现漏洞后,经过测试评估及时修复漏洞
要求项64
应能够检测到对重要节点入侵的行为,并在发生严重入侵时提供报警
通常在网络边界,核心等重要节点处部署IDS/IPS等系统,或在防火墙、UTM处启用入侵检测功能
1.核查防火墙是否具有入侵检测功能,查看入侵检测功能是否已经正确启用2.核查在发生严重入侵事件时是否能报警,报警方式一般包括短信、邮件等
1.防火墙已经启用入侵检测功能2.在发生严重入侵事件时能通过短信、邮件等方式报警
要求项65
应将设备作为通信设备对待,通信设备可能包括交换机、路由器和其他通信设备等,通过在设备的启动和运行过程中对预装软件的完整性进行验证或检测,可以确保对预装软件的篡改行为能被发现报警
要求项66
防火墙
安全设备
Linux操作系统中的/etc/login.defs是 登录程序的配置文件,在该文件中可以配置密码的过期天数、密码的长度约束等参数。如果/etc/pam.d/system-auth文件中有与该文件相同的选项,则以/etc/pam.d/system-auth文件的设置为准。
1.访谈系统管理员,了解系统用户是否已设置密码,核查登录过程中系统账户是否使用密码进行验证登录2.以具有相应权限的账户身份登录操作系统,使用more命令查看/etc/shadow文件,核查系统中是否存在空口令账户3.使用more命令查看/etc/login.defs文件,核查是否设置了密码长度和密码定期更换规则。使用more命令查看/etc/pam.d/system-auth文件,核查是否设置了密码长度和复杂度规则。4.核查是否存在旁路或身份鉴别措施可绕过的安全风险
1.登录时需要密码2.不存在空口令账户3.已配置登录有效期、定期修改密码、密码复杂度4.不存在可绕过的安全风险
要求项67
Linux操作系统具有调用pam的应用程序认证用户、登录服务、屏保等功能。本地登录失败处理功能在/etc/pam.d/system-auth或/etc/pam.d/login文件中配置。ssh远程登录失败处理功能在/etc/pam.d/sshd文件中配置。
1.核查系统是否配置并启用了登录失败处理功能2.以root身份登录Linux系统,核查/etc/pam.d/system-auth或/etc/pam.d/login文件中本地登录失败处理功能的配置情况,以及/etc/pam.d/sshd文件中ssh远程登录失败处理功能的配置情况3.核查/etc/profile文件中的TIMEOUT环境变量是否配置了超时锁定参数。
1.查看本地登录失败处理功能相关参数,/etc/pam.d/system-auth或/etc/pam.d/login文件中存在“auth required pam_tally2.so onerr=fail deny=5 unloack_time=300 even_deny_root root_unlock_time=10”2.查看远程登录失败处理功能相关参数,/etc/pam.d/sshd文件中存在“auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=10”3./etc/profile文件中设置了超时锁定参数,例如在该文件中设置了TMOUT=300s
要求项68
Linux操作系统提供远程访问与管理接口,以便管理员进行管理操作,网络登录方式可以使用telnet协议登录,也可以使用ssh协议登录。但是,telnet协议不安全,所以使用ssh协议远程登录管理。
1.询问系统管理员,了解采取的远程管理方式,以root身份登录Linux系统,查看是否运行了sshd服务,查看相关端口是否打开,若未使用ssh协议进行远程管理,则查看是否使用telnet协议进行管理2.使用抓包工具查看协议是否是加密的3.本地化管理,此项不适用
1.使用ssh协议进行远程管理。2.抓包工具截获的信息为密文,无法读取3。本地化管理,此项不适用
要求项69
应采用口令、密码技术、生物技术等两种或以上组合的鉴别技术对身份鉴别,其中至少一种是密码技术。
使用两种或以上的不同种类的鉴别技术对用户身份鉴别,且至少一种是密码技术
询问系统管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或以上的鉴别技术对身份鉴别,并核查其中一种是否使用密码技术
至少采用了两种鉴别技术,其中一种是密码技术(如国密算法的数字证书或数字令牌),另一种为口令或生物技术
要求项70
以具有相应权限的账户身份登录Linux系统,使用“ls -l 文件名”命令查看重要文件和目录的权限设置是否合理-rwx------:数字表示为700-rwxr--r--:数字表示为744-rw-rw-r-x:数字表示为665drwx--x--x:数字表示为711drwx------:数字表示为700
配置文件的权限不大于644,可执行文件的权限不大于755
要求项71
Linux系统本身提供各种账户,如adm,lp,sync,shutdown,halt,mail,uucp,operator,games,ftp等,这些账户并不会被使用,因此,应禁用或删除这些用户。
1.以具有相应权限的账户身份登录linux系统,执行more命令,查看/etc/shadow文件中是否存在adm,lp,sync,shutdown,halt,mail,uucp,operator,games,ftp等默认无用的账户2.查看root账户是否能进行远程登录(通常为不能)
1.不存在默认无用的账户2.已将/etc/ssh/sshd_config文件中的 PermitRootLogin参数设置为no,表示不允许root远程登录系统
要求项72
应及时删除或停用多余、过期的账户,避免共享账户的存在
多余的、过期的账户可能会被非法利用,因此,应及时清理系统中的账户,删除或停用多余、过期的账户
1.核查是否存在啊多余、过期的账户,例如查看games、news等系统默认账户是否已被禁用,特权账户halt,shutdown是否被删除2.访谈网络管理员,系统管理员,安全管理员,核查不同的用户是否使用不同的账户登录系统
1.已禁用或删除不需要的系统默认账户2.各类管理员均已使用自己的特定权限账户登录,不存在多余,过期账户
要求项73
应授予管理用户所需最小权限,实现管理用户的权限分离
根据管理用户的角色对权限进行划分,仅授权用户所需的最小权限。
1.以具有相应权限的账户身份登录系统,执行more命令,查看/etc/passwd文件中非默认用户,了解各用户的权限,核查是否实现了管理用户的权限分离2.以具有权限的账户身份登录系统,执行more命令,查看/etc/sudoers文件,核查哪些用户有root权限。
1.各用户仅具备最小权限,且不和其他用户的权限交叉。设备支持新建多用户角色功能2.管理员权限仅分配给root用户
要求项74
操作系统的访问控制策略应由授权主体(如安全管理员)进行配置,非授权主体不能更改访问控制策略。访问控制策略规定了操作系统用户对操作系统资源有哪些权限、能进行哪些操作。通过在操作系统中配置访问控制策略,可以实现对操作系统各用户权限的限制
1.询问系统管理员,核查是否由指定授权人对操作系统的访问控制权限进行配置2.核查账户权限配置,了解是否依据安全策略配置各账户的访问规则
1.由专门的安全员负责访问控制权限的授权工作2.各账户权限基于安全员的安全策略配置进行访问控制
要求项75
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据表级
重点目录的访问控制主体可能为某个用户或某个进程,应能控制用户或进程对文件、数据库表等客体的访问
使用“ls -l 文件名”命令查看重要文件和目录权限的设置是否合理。应重点核查文件和目录权限是否被修改过
由管理用户进行用户访问权限的分配,用户依据访问控制策略对各类文件和数据库表进行访问。重要文件和目录的权限均在合理范围中,用户可根据自身拥有的权限对文件进行操作
要求项76
敏感标记是由强认证的安全管理员设置的,通过对重要信息资源设置敏感标记,可以决定主体以什么权限对客体进行操作,实现强制访问控制。linux2.6及以上版本都集成了SELinux模块,在SELinux中,主体等同于进程,客体是主体访问的资源(如文件、目录、端口、设备等)。SELinux有三种工作模式:enforcing强制模式,违反SELinux规则的行为将被阻止并记录到日志中。permissive宽容模式,违反SELinux规则的行为只会被记录到日志中,一般在调试时使用disabled关闭SELinux,表示不使用SELinux
1.核查系统中是否有敏感信息2.核查是否为主体用户或进程划分了级别并设置了敏感标记,以及是否在客体文件中设置了敏感标记3.测试验证是否依据主体和客体的安全标记来控制主体对客体访问的强制访问控制策略4.以具有相应权限的账户身份登录linux系统,使用more命令,查看/etc/selinux/config文件中SELinux参数
Linux服务器默认关闭SELinux服务,或者已使用第三方主机加固系统或对系统内核进行了二次开发加固
要求项77
linux的auditd进程主要用于记录安全信息及对系统安全事件进行溯源,rsyslog进程用于记录系统中各种信息。linux系统在安全审计配置文件/etc/audit/audit.rules中配置安全事件审计规则
1.以root身份登录linux系统,查看服务进程2.若开启了安全审计服务,则核查安全审计的 守护进程是否正常3.若未开启系统安全审计功能,则核查是否部署了第三方安全审计工具4.以root身份登录linux系统,查看安全事件的配置
1.开启了审计进程2.linux服务器默认开启守护进程3.audit.rules文件记录了文件和底层调用信息,记录的安全事件较为全面
要求项78
linux用户空间审计系统由auditd、ausearch、aureport等应用程序组成,其中ausearch是用于查找审计事件的工具,可以查看系统日志
以具有相应权限的账户身份登录linux系统,执行“ausearch -ts today”命令或“tail -20 /var/log/audit/audit.log”命令来查看审计日志
审计记录包括事件的日期和时间、事件类型、主体标识、客体标识和结果
要求项79
应对审计记录进行保护、定期备份。避免受到未预期的删除、修改或覆盖等
对审计记录进行保护、定期备份。避免受到未预期的删除、修改或覆盖等
1.访谈系统管理员,了解审计记录的存储、备份和保护措施2.核查是否定时将系统日志发送到日志服务器等,以及是否使用syslog或snmp方式将系统日志发送到日志服务器。核查日志服务器是否有被测操作系统日志
操作系统日志已定期备份,已定期将本地存储日志发送到日志服务器
要求项80
应对审计进程进行保护,防止未经授权的中断
保护审计进程,确保安全事件发生时能够及时记录事件的详细信息。在linux系统中,auditd是审计守护进程,syslogd是日志守护进程
1.访问系统管理员,了解对审计进程采取的监控和保护措施2.以非安全审计人员身份中断审计进程,验证审计进程的访问权限设置是否合理3.核查是否通过第三方系统对被测系统的审计进程进行监控和保护
1.审计进程不能被非安全审计人员修改2.部署了第三方审计工具,可以实时记录审计日志,管理员不可以对日志进行删除操作。
要求项81
应遵循最小安装原则,近安装需要的组件和应用程序
在安装linux操作系统时,遵循最小安装原则,不需要的 包不安装
1.查看安装操作手册,核查安装操作系统时是否遵循最小安装原则2.使用“yum list installed”命令查看操作系统中已安装的程序包,询问管理员是否有目前不需要使用的组件和应用程序
1.操作系统的安装遵循最小安装原则2.操作系统中没有安装业务不需要的组件和应用程序
要求项82
1.以具有相应权限的身份登录系统,使用“service -status-all | grep running”命令查看危险的网络服务是否关闭2.以具有相应权限的身份登录系统,使用“netstat -ntlp”命令查看并确认开发的端口是否都为业务需要的端口,是否已关闭非必须的端口3.linux系统中不存在共享问题
1.已关闭操作系统中多余的、危险的服务和进程2.已关闭非必须的端口
要求项83
linux系统中有/etc/hosts.allow和/etc/hosts.deny两个文件,/etc/hosts.allow文件用于控制可以访问本机的ip,/etc/hosts.deny文件用于控制禁止访问本机的ip,如果他们有冲突以/etc/hosts.deny的配置为准。
1.查看/etc/hosts.deny文件中是否有“ALL:ALL”字样,2.核查是否已通过防火墙对接入终端进行限制
1./etc/hosts.allow文件中配置了某个ip及访问方式2.对终端接入方式、网络地址范围等条件进行限制,通过radus、堡垒机、防火墙等运维方式对终端接入方式限制
要求项84
发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
1.查看漏洞扫描报告或由第三方提供的漏洞报告中是否存在高风险漏洞2.核查操作系统中是否有漏洞测试环境及补丁更新机制和流程3.访谈系统管理员,了解补丁升级机制,查看补丁安装情况
1.运维团队定期进行漏洞扫描,在发现安全风险后及时进行修补2.补丁更新时间为最近,已对补丁进行控制和管理
要求项85
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵时进行报警
能够检测到对重要节点进行入侵的行为,并在发生严重入侵时进行报警
1.访谈系统管理员并查看入侵检测措施,例如,通过“#more /var/log/secure | grep refused”命令查看入侵重要线索2.核查是否启用了主机防火墙、TCPSYN保护机制等3.访谈系统管理员,了解是否安装了主机入侵检测软件,查看已安装的主机入侵检测软件是否具备报警功能4.查看网络拓扑图,核查网络中是否部署了网络入侵检测系统
1.入侵的重要路径被切断,不存在系统级入侵的可能2.开启了主机防火墙的相关配置3.安装了基于主机的IDS设备4.在发生入侵事件时有记录和报警措施等
要求项86
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
采用免受恶意代码攻击的技术措施或主动免疫可信验证机制对恶意代码进行检测
1.核查操作系统中安装的防病毒软件,访谈系统管理员,了解病毒库是否经常更新。核查病毒库是否为最新版本2.核查操作系统是否实现了可信验证机制,是否能够对系统程序、应用程序和重要配置文件/参数进行可信验证。
1.部署了网络版防病毒软件,病毒库为最新版本,支持防恶意代码统一管理2.部署了主动免疫可信验证机制,可及时阻断病毒入侵行为
要求项87
恶意代码防范
对服务器设备,需要在启动过程中对预装软件进行完整性验证或检测,确保系统引导程序、系统程序、重要配置参数和关键应用程序的篡改行为能被发现并报警
1.核查服务器启动时是否进行了可信验证,查看对哪些系统引导程序、系统程序、重要配置参数进行了可信验证2.通过修改重要系统程序之一和应用程序之一,核查是否能够检测到修改行为并报警3.核查是否已将验证结果形成审计记录送至安全管理中心
1.服务器具有可信根芯片或硬件2.在启动过程中,已基于可信根对系统引导程序、应用程序、系统程序等进行可信验证度量3.在检测到可信性受到破坏后能报警,并将验证结果形成审计记录送至安全管理中心4.安全管理中心可以接收设备的验证结果记录
要求项88
linux服务器
身份标识应具有唯一性,在用户进入Windows前,系统会弹出一个用户登录界面,要求用户输入用户名和密码,用户通过系统对用户名和密码的验证后即可登录
1.核查用户是否需要输入用户名和密码才能登录2.核查Windows的默认用户名是否具有唯一性3.选择“控制面板”-“管理工具”-“计算机管理”-“本地用户和组”选项,检查有哪些用户,并尝试使用空口令登录。4.选择“控制面板”-“管理工具”-“本地安全策略”-“账户策略”-“密码策略”选项,核查密码策略设置是否合理。
1.用户登录时需要输入用户名和密码2.Windows用户名具有唯一性3.无法使用空口令登录4.密码复杂性要求:已启用密码长度:至少8位密码最长使用期限:不为0密码最短使用期限:不为0强制密码历史:至少记住5个密码
要求项89
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
Windows操作系统具有登录失败处理功能,可以通过适当配置账户锁定策略对用户的登录行为进行限制。
1.选择“控制面板”-“管理工具”-“本地安全策略”-“账户策略”-“密码锁定策略”选项,查看账户锁定事件和账户锁定阈值2.在桌面“个性化”-“屏幕保护程序”选项,查看“等待时间”,以及“在恢复时显示登录屏幕”复选框是否被勾选。
1.账户锁定时间:不为不适用2.账户锁定阈值:不为不适用3.已启用远程登录连接超时自动退出的功能
要求项90
Windows操作系统一般使用远程桌面进行远程管理。Windows server 2003 SP1针对远程桌面提供ssl加密功能,可以基于ssl对rdp客户端提供终端服务器的服务器身份验证、加密和rdp客户端通信。
1.如果采用本地管理或KVM等硬件管理方式,则此项要求默认满足2.如果采用远程管理,则需采用带有加密管理的远程管理方式。在命令行窗口输入gpedit.msc命令,在弹出的“本地组策略编辑器”窗口查看“本地计算机 策略”-“计算机配置”-“管理模板”-“Windows组件”-“远程桌面服务”-“远程桌面会话主机”-“安全”中的相关项目。
1.本地或KVM默认符合此项2.远程运维采用加密的rdp协议
要求项91
应采用口令、密码技术、生物技术等两种或以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术为密码技术。
采用口令、密码技术、生物技术等两种或以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术为密码技术。
询问系统管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或以上组合的鉴别技术,并其中一种为密码技术
至少采用两种鉴别技术,其中一种为密码技术,
要求项92
windows服务器
服务器设备
终端设备
系统管理软件
应用系统
数据
安全计算环境
安全管理中心
安全管理制度
安全管理机构
安全管理人员
安全建设管理
安全运维管理
基本要求
等保测评
0 条评论
回复 删除
下一页